شرح مفصلی از خط مشی سرور در مورد رابطه ارائه دهید. کار با گروه های مدیریت و مسیریابی. خدمات فعال سازی مجوز حجمی. گزینه های امنیتی سیمی پیشرفته

قبل از توسعه یک سرور سوکت، باید یک سرور خط مشی ایجاد کنید که به Silverlight بگوید کدام کلاینت ها مجاز به اتصال به سرور سوکت هستند.

همانطور که در بالا نشان داده شد، Silverlight اجازه بارگذاری محتوا یا فراخوانی یک وب سرویس را نمی دهد، اگر دامنه دارای یک فایل clientaccesspolicy .xml یا crossdomain نباشد. xml که در آن این عملیات به صراحت مجاز است. محدودیت مشابهی برای سرور سوکت اعمال می شود. اگر به دستگاه سرویس گیرنده اجازه ندهید فایل xml.clientaccesspolicy را که امکان دسترسی از راه دور را می دهد دانلود کند، Silverlight از برقراری اتصال خودداری می کند.

متأسفانه، ارائه یک سیاست دسترسی به مشتری. cml به یک برنامه سوکت بیشتر از ارائه آن از طریق یک وب سایت یک چالش است. هنگام استفاده از یک وب سایت، نرم افزار وب سرور ممکن است یک فایل xml.clientaccesspolicy ارائه دهد، فقط به یاد داشته باشید که آن را اضافه کنید. در عین حال، هنگام استفاده از یک برنامه سوکت، باید سوکتی را باز کنید که برنامه های سرویس گیرنده با درخواست های خط مشی به آن دسترسی داشته باشند. علاوه بر این، شما باید به صورت دستی کدی را ایجاد کنید که به سوکت سرویس می دهد. برای انجام این وظایف، باید یک سرور سیاست ایجاد کنید.

در ادامه، نشان خواهیم داد که سرور سیاست مانند سرور پیام کار می‌کند، فقط تعاملات کمی ساده‌تر را مدیریت می‌کند. سرورها و خط مشی های پیام را می توان به طور جداگانه ایجاد کرد یا در یک برنامه ترکیب کرد. در حالت دوم، آنها باید به درخواست ها در موضوعات مختلف گوش دهند. در این مثال، ما یک سرور سیاست ایجاد می کنیم و سپس آن را با یک سرور پیام ترکیب می کنیم.

برای ایجاد یک سرور سیاست، ابتدا باید یک برنامه دات نت ایجاد کنید. هر نوع برنامه دات نت می تواند به عنوان سرور خط مشی خدمت کند. ساده ترین راه استفاده از یک برنامه کنسول است. هنگامی که برنامه کنسول خود را اشکال زدایی کردید، می توانید کد خود را به یک سرویس ویندوز منتقل کنید تا همیشه در پس زمینه اجرا شود.

فایل خط مشی

در زیر فایل خط مشی ارائه شده توسط سرور خط مشی ارائه شده است.

فایل سیاست سه قانون را تعریف می کند.

اجازه دسترسی به همه پورت‌ها از 4502 تا 4532 را می‌دهد (این طیف کاملی از پورت‌های پشتیبانی شده توسط افزونه Silverlight است). برای تغییر محدوده پورت های موجود، مقدار ویژگی port عنصر را تغییر دهید.

اجازه دسترسی به TCP را می دهد (مجوز در ویژگی پروتکل عنصر تعریف شده است).

اجازه تماس از هر دامنه را می دهد. بنابراین، یک برنامه Silverlight که ارتباط برقرار می کند، می تواند توسط هر وب سایتی میزبانی شود. برای تغییر این قانون، باید ویژگی uri عنصر را ویرایش کنید.

برای آسانتر کردن کارها، قوانین خط مشی در فایل clientaccess-ploi.cy.xml که به پروژه اضافه شده است قرار می گیرد. در ویژوال استودیو، پارامتر Copy to Output Directory فایل سیاست باید روی Cop Always تنظیم شود. فقط باید فایل را روی هارد درایو پیدا کنید، آن را باز کنید و محتویات را به دستگاه مشتری برگردانید.

کلاس PolicyServer

عملکرد سرور سیاست بر اساس دو کلاس کلیدی است: PolicyServer و PolicyConnection. کلاس PolicyServer انتظار برای اتصالات را کنترل می کند. هنگامی که یک اتصال دریافت می کند، کنترل را به نمونه جدیدی از کلاس PoicyConnection می دهد، که فایل سیاست را به مشتری ارسال می کند. این روش دو قسمتی در برنامه نویسی شبکه رایج است. هنگام کار با سرورهای پیام، بیش از یک بار آن را مشاهده خواهید کرد.

کلاس PolicyServer فایل Policy را از هارد دیسک بارگیری می کند و آن را در فیلد به صورت آرایه ای از بایت ها ذخیره می کند.

کلاس عمومی PolicyServer

سیاست بایت خصوصی؛

Public PolicyServer(string policyFile) (

برای شروع گوش دادن، برنامه سرور باید با PolicyServer تماس بگیرد. شروع (). یک شی TcpListener ایجاد می کند که به درخواست ها گوش می دهد. شی TcpListener برای گوش دادن به پورت 943 پیکربندی شده است. در Silverlight، این پورت برای سرورهای سیاست رزرو شده است. هنگام درخواست فایل های خط مشی، برنامه Silverlight به طور خودکار آنها را به پورت 943 هدایت می کند.

شنونده خصوصی TcpListener.

Public void Start()

// شنونده ایجاد کنید

listener = new TcpListener(IPAddress.Any, 943);

// شروع به گوش دادن کنید. متد Start() بلافاصله بعد از فراخوانی listener II را برمی گرداند.Start();

// در انتظار اتصال؛ متد بلافاصله برمی گردد.

انتظار دوم در یک موضوع جداگانه انجام می شود

برای پذیرش اتصال ارائه شده، سرور خط مشی متد ()BeginAcceptTcpClient را فراخوانی می کند. مانند تمام متدهای Beginxxx() فریم ورک دات نت، بلافاصله پس از فراخوانی باز می گردد و عملیات لازم را روی یک رشته مجزا انجام می دهد. برای برنامه های کاربردی شبکه، این یک عامل بسیار مهم است زیرا اجازه می دهد تا بسیاری از درخواست ها برای فایل های سیاست به طور همزمان پردازش شوند.

توجه داشته باشید. برنامه نویسان شبکه مبتدی اغلب تعجب می کنند که چگونه می توان بیش از یک درخواست را همزمان پردازش کرد و فکر می کنند که این کار به چندین سرور نیاز دارد. با این حال، اینطور نیست. با این رویکرد، برنامه های مشتری به سرعت پورت های موجود را تمام می کنند. در عمل، برنامه های سرور بسیاری از درخواست ها را از طریق یک پورت پردازش می کنند. این فرآیند برای برنامه ها نامرئی است زیرا زیرسیستم TCP داخلی در ویندوز به طور خودکار پیام ها را شناسایی می کند و آنها را به اشیاء مناسب در کد برنامه هدایت می کند. هر اتصال به طور منحصر به فرد بر اساس چهار پارامتر شناسایی می شود: آدرس IP مشتری، شماره پورت مشتری، آدرس IP سرور و شماره پورت سرور.

در هر درخواست، متد ()OnAcceptTcpClient بازگشت به تماس فعال می شود. مجدداً متد BeginAcceptTcpClient O را فراخوانی می کند تا منتظر درخواست بعدی در رشته دیگری باشد و سپس پردازش درخواست فعلی را آغاز می کند.

عمومی void OnAcceptTcpClient(IAsyncResult ar) (

اگر (isStopped) بازگشت;

Console.WriteLine ("درخواست خط مشی دریافت شد."); // در انتظار اتصال بعدی.

listener.BeginAcceptTcpClient(OnAcceptTcpClient، null);

// مدیریت اتصال فعلی.

TcpClient client = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = new PolicyConnection(client, policy); PolicyConnection.HandleRequest();

گرفتن (Err Exception) (

هر بار که یک اتصال جدید دریافت می شود، یک شیء PolicyConnection جدید برای مدیریت آن ایجاد می شود. علاوه بر این، شی PolicyConnection یک فایل سیاست را نگهداری می کند.

آخرین مؤلفه کلاس PolicyServer متد ()Stop است که از انتظار برای درخواست ها می ایستد. برنامه زمانی که خاتمه می یابد آن را فراخوانی می کند.

خصوصی bool isStoppped;

عمومی void StopO(

isStopped = درست است.

شنونده متوقف کردن()؛

گرفتن (Err Exception) (

Console.WriteLine(err.Message);

کد زیر در متد Main() سرور برنامه برای راه اندازی سرور سیاست استفاده می شود.

فضای خالی استاتیک اصلی (ارگ های رشته ای) (

PolicyServer PolicyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine ("سرور سیاست شروع شد."); Console.WriteLine ("کلید Enter را برای خروج فشار دهید.");

// در انتظار فشار دادن کلید؛ با استفاده از متد // Console.ReadKey() می توانید آن را طوری تنظیم کنید که منتظر یک خط // خاص باشد (مثلاً خروج) یا هر کلیدی را فشار دهید Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("End Policy Server.");

کلاس PolicyConnection

کلاس PolicyConnection کار ساده تری را انجام می دهد. شی PolicyConnection یک مرجع به داده های فایل سیاست ذخیره می کند. سپس، پس از فراخوانی متد HandleRequest()، شی PolicyConnection یک اتصال جدید از جریان شبکه واکشی می کند و سعی می کند آن را بخواند. دستگاه سرویس گیرنده باید یک رشته حاوی متن ارسال کند.پس از خواندن این متن، دستگاه سرویس گیرنده داده های خط مشی را در جریان می نویسد و اتصال را می بندد. در زیر کد کلاس PolicyConnection آمده است.

Public class Connection Policy(

کلاینت خصوصی TcpClient؛ سیاست بایت خصوصی؛

Public PolicyConnection (کلاینت TcpClient، خط مشی بایت) (

this.client = مشتری; this.policy = سیاست;

// ایجاد یک درخواست کلاینت برای رشته استاتیک خصوصی PolicyRequestString = "

Public void HandleRequest()(

Stream s = client.GetStream(); // رشته پرس و جو خط مشی را بخوانید

بایت بافر = بایت جدید.

// فقط 5 ثانیه صبر کنید client.ReceiveTimeout = 5000;'

s.Read (بافر، 0، بافر. طول)؛

// سیاست را پاس کنید (همچنین می توانید بررسی کنید که درخواست خط مشی // محتوای مورد نیاز را دارد یا خیر) s.Write(policy, 0, policy.Length);

// Close Client Connection.Close();

Console.WriteLine ("پرونده سیاست ارائه شد.");

بنابراین، ما یک سرور خط مشی کاملاً عملیاتی داریم. متأسفانه، هنوز نمی توان آن را آزمایش کرد زیرا افزودنی Silverlight اجازه نمی دهد فایل های خط مشی به طور صریح درخواست شوند. در عوض، هنگام تلاش برای استفاده از یک برنامه سوکت، به طور خودکار از آنها درخواست می کند. قبل از اینکه بتوانید یک برنامه مشتری برای این برنامه سوکت ایجاد کنید، باید یک سرور ایجاد کنید.

در مقالات قبلی این مجموعه، نحوه استفاده موثر از عملکرد سیاست‌های امنیتی محلی را یاد گرفتید که به شما امکان می‌دهد از زیرساخت‌های سازمان خود حداکثر در برابر حملات بدخواهان خارج و همچنین از اکثر اقدامات کارمندان نالایق محافظت کنید. . شما قبلاً می دانید که چگونه می توانید به طور مؤثر سیاست های حساب را تنظیم کنید که به شما امکان می دهد پیچیدگی رمزهای عبور کاربران خود را مدیریت کنید، سیاست های حسابرسی را برای تجزیه و تحلیل بیشتر احراز هویت کاربران خود در گزارش امنیتی تنظیم کنید. علاوه بر این، یاد گرفتید که چگونه حقوقی را به کاربران خود اختصاص دهید تا از آسیب رساندن به سیستم و حتی رایانه های موجود در اینترانت خود جلوگیری کنید، و چگونه می توانید گزارش های رویداد، گروه های محدود، خدمات سیستم، رجیستری و سیستم فایل را به طور موثر پیکربندی کنید. در این مقاله، مطالعه خود را در مورد سیاست‌های امنیتی محلی ادامه خواهیم داد و با تنظیمات امنیتی شبکه سیمی برای شرکت خود آشنا خواهید شد.

سیستم عامل های سرور مایکروسافت، با شروع ویندوز سرور 2008، مؤلفه سیاست های شبکه سیمی (IEEE 802.3) را معرفی کردند که پیکربندی خودکار برای استقرار سرویس های دسترسی سیمی با احراز هویت IEEE 802.1X برای مشتریان شبکه اترنت 802.3 فراهم می کند. برای پیاده سازی تنظیمات امنیتی برای شبکه های سیمی با استفاده از سیاست های گروهی، سیستم عامل ها از سرویس Wired AutoConfig (Wired AutoConfig - DOT3SVC) استفاده می کنند. سرویس فعلی مسئول احراز هویت IEEE 802.1X هنگام اتصال به شبکه‌های اترنت با استفاده از سوئیچ‌های سازگار 802.1X است و همچنین نمایه مورد استفاده برای پیکربندی یک کلاینت شبکه برای دسترسی تأیید شده را مدیریت می‌کند. همچنین شایان ذکر است که در صورت استفاده از این سیاست ها، بهتر است از تغییر حالت راه اندازی این سرویس توسط کاربران دامنه خود جلوگیری شود.

پیکربندی خط مشی شبکه سیمی

می توانید تنظیمات خط مشی شبکه سیمی را مستقیماً از Snap-In تنظیم کنید. برای پیکربندی این تنظیمات، مراحل زیر را دنبال کنید:

snap-in را باز کنید و گره را در درخت کنسول انتخاب کنید، روی آن کلیک راست کرده و دستور را از منوی زمینه انتخاب کنید. "ایجاد یک خط مشی جدید شبکه سیمی برای ویندوز ویستا و نسخه های جدیدتر"همانطور که در تصویر زیر نشان داده شده است:
برنج. 1. یک خط مشی شبکه سیمی ایجاد کنید
در کادر محاوره ای باز شده "خط مشی جدید برای ویژگی های شبکه های سیمی"، روی زبانه "معمول هستند"، می توانید تعیین کنید که از سرویس Wired AutoConfig برای پیکربندی آداپتورهای LAN برای اتصال به یک شبکه سیمی استفاده کنید. علاوه بر تنظیمات خط مشی که برای ویندوز ویستا و سیستم عامل های بعدی اعمال می شود، برخی تنظیمات خط مشی وجود دارد که فقط برای سیستم عامل های Windows 7 و Windows Server 2008 R2 اعمال می شوند. در این تب می توانید کارهای زیر را انجام دهید:
- نام خط مشی. در این کادر متنی، می توانید نامی برای خط مشی شبکه سیمی خود قرار دهید. می توانید نام سیاست را در قسمت جزئیات گره مشاهده کنید "سیاست های شبکه سیمی (IEEE 802.3)"ضربه محکم و ناگهانی ویرایشگر مدیریت خط مشی گروه;
- شرح. این کادر متنی برای پر کردن شرح مفصلی از هدف سیاست شبکه سیمی است.
- از سرویس Windows Wired AutoConfig برای مشتریان استفاده کنید. این گزینه پیکربندی واقعی را انجام می دهد و کلاینت ها را به یک شبکه سیمی 802.3 متصل می کند. اگر این گزینه را غیرفعال کنید، سیستم عامل ویندوز اتصال شبکه سیمی را کنترل نمی کند و تنظیمات خط مشی اعمال نمی شوند.
- از استفاده از اطلاعات کاربری مشترک برای احراز هویت شبکه جلوگیری کنید. این تنظیم تعیین می‌کند که آیا کاربر باید از ذخیره اطلاعات کاربری مشترک برای احراز هویت شبکه جلوگیری کند یا خیر. با دستور می توانید این تنظیمات را به صورت محلی تغییر دهید مجموعه netsh lan allowexplicitcreds;
- فعال کردن دوره مسدود کردن. این تنظیم تعیین می کند که آیا از اتصال خودکار رایانه به شبکه سیمی برای تعداد دقیقه هایی که مشخص می کنید جلوگیری شود یا خیر. پیش فرض 20 دقیقه است. دوره مسدود شدن از 1 تا 60 دقیقه قابل تنظیم است.

"معمول هستند"سیاست های شبکه سیمی:

برنج. 2. برگه عمومی کادر گفتگوی تنظیمات خط مشی شبکه سیمی

روی زبانه "ایمنی"گزینه های پیکربندی روش احراز هویت و حالت اتصال سیمی را ارائه می دهد. می توانید تنظیمات امنیتی زیر را پیکربندی کنید:
- برای دسترسی به شبکه، احراز هویت IEEE 802.1X را فعال کنید. این گزینه به طور مستقیم برای فعال یا غیرفعال کردن احراز هویت دسترسی به شبکه 802.1X استفاده می شود. این گزینه به طور پیش فرض فعال است؛
- یک روش احراز هویت شبکه را انتخاب کنید. با استفاده از این لیست کشویی، می توانید یکی از روش های احراز هویت مشتری شبکه را که در خط مشی شبکه سیمی شما اعمال می شود، مشخص کنید. دو گزینه زیر برای انتخاب موجود است:
  - مایکروسافت: EAP های محافظت شده (PEAP). برای این روش احراز هویت، پنجره "خواص"شامل تنظیمات پیکربندی برای استفاده از روش احراز هویت است.
  - مایکروسافت: کارت های هوشمند یا گواهی های دیگر. برای این روش احراز هویت، در پنجره "خواص"گزینه های پیکربندی را ارائه می دهد که به شما امکان می دهد یک کارت هوشمند یا گواهی برای اتصال به آن و همچنین لیستی از CAهای ریشه قابل اعتماد را مشخص کنید.
روش به طور پیش فرض انتخاب شده است مایکروسافت: EAP های محافظت شده (PEAP);
حالت تأیید اعتبار. این لیست کشویی برای احراز هویت شبکه استفاده می شود. چهار گزینه زیر برای انتخاب در دسترس هستند:
- احراز هویت کاربر یا کامپیوتر. اگر این گزینه انتخاب شود، اعتبار امنیتی بر اساس وضعیت فعلی رایانه استفاده می شود. حتی اگر هیچ کاربری وارد نشده باشد، احراز هویت با استفاده از اعتبار رایانه انجام می شود. هنگامی که یک کاربر وارد سیستم می شود، از اعتبار کاربری که وارد شده است استفاده می شود. مایکروسافت در بیشتر موارد استفاده از این تنظیم حالت احراز هویت را توصیه می کند.
- فقط برای کامپیوتر. در این مورد، فقط اعتبار رایانه تأیید می شود.
- احراز هویت کاربر. انتخاب این گزینه فقط هنگام اتصال به دستگاه 802.1X جدید، احراز هویت کاربر را مجبور می کند. در تمام موارد دیگر، احراز هویت فقط برای رایانه انجام می شود.
- احراز هویت مهمان. این تنظیم به شما امکان می دهد تا بر اساس یک حساب مهمان به شبکه متصل شوید.
حداکثر تعداد خطاهای احراز هویت. این تنظیم به شما امکان می دهد حداکثر تعداد خطاهای احراز هویت را مشخص کنید. مقدار پیش فرض 1 است.
داده های کاربر را برای اتصالات بعدی به این شبکه ذخیره کنید. هنگامی که این تنظیم فعال باشد، اطلاعات کاربری در رجیستری سیستم ذخیره می شود و زمانی که کاربر از سیستم خارج می شود و سپس وارد سیستم می شود، هیچ اعتباری درخواست نمی شود.

تصویر زیر برگه را نشان می دهد "ایمنی"این کادر محاوره ای:

برنج. 3. برگه امنیتی کادر گفتگوی تنظیمات خط مشی شبکه سیمی

ویژگی های حالت های احراز هویت

همانطور که در قسمت قبل ذکر شد، برای هر دو روش احراز هویت تنظیمات اضافی وجود دارد که با کلیک بر روی دکمه فراخوانی می شوند. "خواص". در این بخش، تمام تنظیمات ممکن برای روش های احراز هویت را پوشش خواهیم داد.

تنظیمات روش احراز هویت "Microsoft: Secure EAP (PEAP)".

EAP (پروتکل تأیید اعتبار توسعه‌یافته، پروتکل تأیید اعتبار توسعه‌یافته) یک زیرساخت تأیید اعتبار قابل توسعه است که قالب بسته را تعریف می‌کند. گزینه های زیر برای پیکربندی این روش احراز هویت در دسترس هستند:

اتصال مجدد سریع را فعال کنید. این گزینه به کاربرانی که رایانه های بی سیم دارند اجازه می دهد تا به سرعت بین نقاط دسترسی بدون احراز هویت مجدد به شبکه جدید حرکت کنند. این سوئیچینگ فقط می تواند برای نقاط دسترسی که به عنوان کلاینت های RADIUS پیکربندی شده اند کار کند. این گزینه به طور پیش فرض فعال است؛

محافظت از دسترسی به شبکه را فعال کنید. هنگامی که این گزینه انتخاب می شود، قبل از اجازه دادن به درخواست کنندگان EAP برای اتصال به شبکه، بررسی های مناسب برای تعیین بررسی الزامات سلامت انجام می شود.

اگر سرور از اتصال رمزگذاری شده از طریق مکانیسم TLV پشتیبانی نمی کند، اتصال را قطع کنید. اگر سرور RADIUS یک مقدار اتصال رمزنگاری TLV را ارائه نکند که با ترکیب روش‌های احراز هویت داخلی و خارجی، امنیت تونل TLS در PEAP را با ترکیب روش‌های احراز هویت داخلی و خارجی افزایش می‌دهد، این گزینه باعث می‌شود تا مشتریان اتصال فرآیند احراز هویت را قطع کنند. شخص ثالث؛

فعال کردن هویت حریم خصوصی. این تنظیم از ارسال هویت مشتریان قبل از احراز هویت سرور RADIUS جلوگیری می کند و به صورت اختیاری مکانی برای وارد کردن یک مقدار هویت ناشناس فراهم می کند.

کادر محاوره ای Secure EAP Properties در شکل زیر نشان داده شده است:

برنج. 5. EAP Properties Dialog Box را ایمن کنید

تنظیمات روش احراز هویت "کارت هوشمند یا گواهی دیگر - تنظیمات EAP-TLS"

گزینه های زیر برای پیکربندی این روش احراز هویت در دسترس هستند:

هنگام اتصال از کارت هوشمند من استفاده کنید. اگر دکمه رادیویی را روی این موقعیت قرار دهید، مشتریانی که درخواست‌های احراز هویت می‌کنند، یک گواهی کارت هوشمند برای احراز هویت شبکه ارائه می‌کنند.
هنگام اتصال، از گواهی در این رایانه استفاده کنید. هنگامی که این گزینه انتخاب می شود، تأیید اتصال مشتری از گواهی موجود در کاربر فعلی یا فروشگاه رایانه محلی استفاده می کند.
از انتخاب گواهی ساده استفاده کنید. این گزینه به سیستم عامل ویندوز اجازه می دهد تا گواهی هایی را که الزامات احراز هویت را برآورده نمی کنند فیلتر کند.
گواهی سرور را بررسی کنید. این گزینه به شما امکان می‌دهد تأیید گواهی سرور را که به رایانه‌های مشتری ارائه می‌شود برای امضای معتبر و منقضی نشده، و همچنین حضور یک مرجع معتبر صدور گواهینامه ریشه که گواهی را برای این سرور صادر کرده است، تنظیم کنید.
به سرورها متصل شوید. این گزینه مشابه گزینه ای به همین نام است که در بخش قبل توضیح داده شد.
مقامات معتبر صدور گواهینامه ریشه. درست مانند کادر محاوره‌ای EAP Properties، در این لیست می‌توانید تمام مقامات معتبر صدور گواهینامه ریشه که در فروشگاه‌های گواهی کاربر و رایانه نصب شده‌اند را بیابید.
از کاربر درخواست نکنید که سرورهای جدید یا مقامات گواهی معتبر را مجاز کند. با علامت زدن این گزینه، اگر یک گواهی سرور پیکربندی نادرست وجود داشته باشد یا در لیست برای کاربر وجود داشته باشد، کادر محاوره ای نمایش داده نمی شود که از شما می خواهد چنین گواهینامه ای را مجوز دهید. این گزینه به طور پیش فرض غیر فعال است؛
از نام کاربری دیگری برای اتصال استفاده کنید. این تنظیم تعیین می کند که آیا از نام کاربری متفاوتی برای احراز هویت نسبت به نام کاربری موجود در گواهی استفاده شود یا خیر. هنگامی که گزینه استفاده از نام کاربری متفاوت فعال است، باید حداقل یک گواهی را از لیست CAهای ریشه قابل اعتماد انتخاب کنید.

کادر محاوره ای برای تنظیم کارت های هوشمند یا سایر گواهی ها در شکل زیر نمایش داده می شود:

برنج. 6. کادر محاوره ای برای تنظیم کارت های هوشمند یا گواهی های دیگر

اگر در مورد گواهی انتخابی خود مطمئن نیستید، روی دکمه کلیک کنید "گواهی مشاهده"قادر خواهد بود تمام جزئیات گواهی انتخاب شده را مطابق شکل زیر مشاهده کند:

برنج. 7. یک گواهی را از لیست مقامات معتبر صدور گواهینامه ریشه مشاهده کنید

گزینه های امنیتی سیمی پیشرفته

احتمالاً متوجه آن در برگه شده اید "ایمنی"در کادر محاوره‌ای تنظیمات سیاست شبکه سیمی، گزینه‌های امنیتی دیگری برای تغییر رفتار کلاینت‌های شبکه که درخواست دسترسی با احراز هویت 802.1X را دارند، وجود دارد. تنظیمات خط مشی سیمی پیشرفته را می توان به دو گروه تقسیم کرد - تنظیمات IEEE 802.1X و تنظیمات ورود به سیستم. بیایید به هر یک از این گروه ها نگاه کنیم:

در گروه تنظیمات IEEE 802.1X، می توانید مشخصات درخواست های شبکه سیمی را با احراز هویت 802.1X مشخص کنید. گزینه های زیر برای ویرایش در دسترس هستند:

تنظیمات پیشرفته 802.1X را اعمال کنید. این گزینه به شما امکان می دهد چهار تنظیمات زیر را فعال کنید.
حداکثر پیام های EAPOL. EAPOL یک پروتکل EAP است که قبل از اینکه کامپیوتر زمان برای احراز هویت داشته باشد استفاده می شود و تنها پس از یک "ورود" موفقیت آمیز، تمام ترافیک های دیگر می توانند از پورت سوئیچ که این رایانه به آن متصل است عبور کند. این پارامتر حداکثر تعداد پیام های EAPOL-Start ارسال شده را کنترل می کند.
دوره تاخیر (ثانیه). این تنظیم، تأخیر را در چند ثانیه، قبل از درخواست احراز هویت 802.1X بعدی پس از دریافت اعلان خرابی احراز هویت، کنترل می‌کند.
دوره شروع (دوره شروع). این پارامتر مدت زمان انتظار را قبل از ارسال مجدد پیام های EAPOL-Start متوالی کنترل می کند.
دوره بررسی (ثانیه). این پارامتر تعداد ثانیه‌های بین ارسال مجدد پیام‌های EAPOL اولیه متوالی پس از شروع بررسی دسترسی عبور 802.1X را مشخص می‌کند.
پیام شروع EAPOL. با استفاده از این پارامتر، می توانید ویژگی های انتقال پیام های اولیه EAPOL را مشخص کنید:
- انتقال ندهند. اگر این گزینه انتخاب شود، پیام های EAPOL ارسال نمی شود.
- منتقل شده. اگر این گزینه انتخاب شده باشد، مشتری باید به صورت دستی پیام های اولیه EAPOL را ارسال کند.
- انتقال IEEE 802.1X. اگر این گزینه (پیش‌فرض) انتخاب شود، پیام‌های EAPOL به‌طور خودکار ارسال می‌شوند و منتظر شروع احراز هویت 802.1X هستند.

هنگام استفاده از یک ورود به سیستم، احراز هویت باید بر اساس پیکربندی امنیتی شبکه در طول فرآیند ورود کاربر به سیستم عامل انجام شود. گزینه های زیر برای پیکربندی کامل پروفایل های SSO در دسترس هستند:

فعال کردن یک ورود به سیستم برای شبکه. فعال کردن این گزینه تنظیمات ورود به سیستم را فعال می کند.
درست قبل از ورود کاربر فعال شود. اگر این گزینه را علامت بزنید، احراز هویت 802.1X قبل از تکمیل ورود کاربر انجام می شود.
بلافاصله پس از ورود کاربر فعال شود. اگر این گزینه را علامت بزنید، پس از ورود کاربر، احراز هویت 802.1X انجام خواهد شد.
حداکثر تاخیر اتصال. این پارامتر حداکثر زمانی را مشخص می کند که برای آن احراز هویت باید تکمیل شود و بر این اساس، کاربر چقدر منتظر بماند تا پنجره ورود کاربر ظاهر شود.
اجازه دهید کادرهای گفتگوی اضافی در یک ورود به سیستم نشان داده شوند. این تنظیمات وظیفه نمایش کادر محاوره ای ورود کاربر را بر عهده دارد.
این شبکه از VLAN های مختلف برای احراز هویت ماشین و کاربر استفاده می کند. اگر این تنظیمات را مشخص کنید، در هنگام راه اندازی، همه رایانه ها در یک شبکه مجازی قرار می گیرند و پس از ورود موفق کاربر، بسته به مجوزها، به شبکه های مجازی مختلف منتقل می شوند. فعال کردن این گزینه فقط در صورتی منطقی است که چندین VLAN در شرکت خود دارید.

کادر گفتگوی تنظیمات امنیتی پیشرفته سیاست شبکه سیمی در شکل زیر نشان داده شده است:

برنج. شکل 8. کادر گفتگوی تنظیمات امنیتی پیشرفته سیاست شبکه های سیمی

نتیجه

در این مقاله با تمام تنظیمات خط مشی شبکه سیمی IEE 802.1X آشنا شدید. شما یاد گرفتید که چگونه می توانید چنین خط مشی ایجاد کنید و با روش های احراز هویت EAP و احراز هویت با استفاده از کارت های هوشمند یا گواهی های دیگر آشنا شدید. در مقاله بعدی با سیاست های امنیتی محلی Network List Manager آشنا خواهید شد.

سیاست‌های موجود در Exchange Server 2003 برای افزایش انعطاف‌پذیری مدیریت و در عین حال کاهش بار روی مدیران طراحی شده‌اند. خط مشی مجموعه ای از تنظیمات پیکربندی است که برای یک یا چند شی از یک کلاس در Exchange اعمال می شود. برای مثال، می‌توانید خط‌مشی ایجاد کنید که بر تنظیمات خاصی در برخی یا همه سرورهای Exchange تأثیر بگذارد. اگر نیاز به تغییر این تنظیمات دارید، فقط باید این خط مشی را تغییر دهید و در سازمان سرور مربوطه اعمال خواهد شد.

دو نوع خط مشی وجود دارد: خط مشی سیستم و خط مشی گیرنده. خط‌مشی‌های گیرنده برای اشیاء دسترسی به نامه اعمال می‌شود و نحوه تولید آدرس‌های ایمیل را مشخص می‌کند. خط مشی های گیرنده در "ایجاد و مدیریت گیرندگان" مورد بحث قرار گرفته است. خط‌مشی‌های سیستم برای سرورها، فروشگاه‌های صندوق پستی و فروشگاه‌های پوشه عمومی اعمال می‌شوند. این خط‌مشی‌ها در محفظه خط‌مشی‌ها در گروه مسئول ظاهر می‌شوند مدیریتاین سیاست (شکل 12.10).

برنج. 12.10.شیء خط مشی سیستم

توجه داشته باشید. نصب Exchange Server 2003 یک محفظه پیش فرض برای سیاست های سیستم ایجاد نمی کند. باید قبل از ایجاد سیاست های سیستم ایجاد شود. روی گروه مدیریتی که می‌خواهید در آن یک پوشه خط‌مشی ایجاد کنید کلیک راست کنید، نشانگر را روی New نگه دارید و System Policy Container را انتخاب کنید.

یک خط مشی سیستم ایجاد کنید

برای ایجاد یک خط مشی سیستم، به کانتینر System Policies مناسب بروید، روی ظرف کلیک راست کنید و سپس نوع خط مشی مورد نظر را انتخاب کنید: خط مشی سرور، خط مشی ذخیره صندوق پستی یا خط مشی ذخیره پوشه عمومی.

هنگام کار با سیاست های سیستم، مطمئن شوید که یک شیء خط مشی در گروهی که مسئول مدیریت آن خط مشی است ایجاد کنید. در غیر این صورت، ممکن است در انتخاب افرادی که کنترل اداری بر سیاست های حیاتی اعمال می کنند، خطایی رخ دهد. بیایید نگاه کنیم که چگونه هر یک از سه نوع سیاست ایجاد می شود، که از سیاست های سرور شروع می شود.

یک خط مشی سرور ایجاد کنید

خط مشی سرور تنظیمات ردیابی پیام و نگهداری فایل لاگ را تعریف می کند. برای تنظیمات امنیتی یا سایر تنظیمات سرورهای این گروه مدیریت اعمال نمی شود. برای ایجاد خط مشی سرور، روی محفظه System Policies کلیک راست کرده و روی New اشاره کنید و سپس گزینه Server Policy را انتخاب کنید. کادر محاوره ای New Policy که در شکل 1 نشان داده شده است ظاهر می شود. 12.11، که برگه هایی را که در صفحه ویژگی خط مشی ظاهر می شوند، مشخص می کند. تنها یک گزینه برای خط مشی سرور وجود دارد: تب General. گزینه مربوط به این تب را علامت بزنید و سپس روی OK کلیک کنید. یک پنجره پیکربندی نمایش داده می شود که در آن خط مشی ایجاد می شود.

برنج. 12.11.

پس از آن، باید نامی را برای خط مشی در پنجره برگه عمومی صفحه خصوصیات خط مشی وارد کنید. همانطور که در شکل 12.12 نشان داده شده است، در واقع دو زبانه General وجود دارد. اولین تب برای وارد کردن نام سیاست استفاده می شود. نامی را برای توصیف وظیفه ای که این خط مشی قرار است انجام دهد انتخاب کنید، مانند خط مشی پیگیری پیام یا فعال کردن خط مشی ثبت موضوع. نام مناسب انتخاب شده در این مرحله باعث صرفه جویی در وقت می شود زیرا برای تعیین هدف آن نیازی به باز کردن صفحه دارایی خط مشی نخواهد بود.

برگه عمومی (سیاست) نشان داده شده در شکل. 12.13 شامل تنظیمات خط مشی واقعی اعمال شده در سرورهای Exchange سازمان مورد نظر است. این برگه عمومی (خط مشی) نامیده می شود زیرا به طور بالقوه برگه عمومی صفحات ویژگی را برای همه سرورهای موجود پیکربندی می کند. (در ادامه این فصل، نحوه اعمال این خط مشی را برای همه سرورهای یک سازمان خواهیم دید.) اگر این برگه را با برگه عمومی در صفحه خصوصیات سرور مقایسه کنید، خواهید دید که برگه ها یکسان هستند به جز برای اطلاعات شناسایی در بالای برگه

برگه عمومی (خط مشی) ثبت و فعال کردن ثبت و نمایش موضوع را برای همه سرورهای موجود Exchange 2003 فعال می کند. این تنظیم همراه با گزینه Enable Message Tracking کار می کند که به شما امکان می دهد پیام های ارسال شده در سازمان را ردیابی کنید. این گزینه ها برای عیب یابی منشأ مشکلاتی که وقتی برخی از کاربران پیامی از سایر کاربران دریافت نمی کنند، به وجود می آیند مفید هستند. امکان ردیابی عبور یک پیام از طریق یک سازمان برای تعیین محل مشکلات انتقال داده وجود دارد. برای اطلاعات بیشتر در مورد ردیابی پیام و ثبت موضوع پیام، به فصل 6، عملکرد، امنیت و پشتیبانی Exchange Server 2003 مراجعه کنید.

برنج. 12.12.

برنج. 12.13.

پس از اعمال یک خط مشی، نمی توان آن را در سطح سرور محلی تغییر داد. خط مشی ردیابی پیام که به عنوان مثال استفاده کردیم در سرور EX-SRV1 در گروه مدیریت آریزونا ایجاد شد. بر

عملکرد در سیستم عامل ویندوز سرور از نسخه ای به نسخه دیگر محاسبه شده و بهبود می یابد، نقش ها و مؤلفه های بیشتری وجود دارد، بنابراین در مقاله امروز سعی می کنم به طور خلاصه توضیح دهم. شرح و هدف هر نقش در ویندوز سرور 2016.

قبل از توضیح نقش های سرور ویندوز سرور، بیایید دریابیم که دقیقا چیست " نقش سرور» در سیستم عامل ویندوز سرور.

"نقش سرور" در ویندوز سرور چیست؟

نقش سرور- این یک بسته نرم افزاری است که عملکرد یک عملکرد خاص را توسط سرور تضمین می کند و این عملکرد اصلی است. به عبارت دیگر، " نقش سرور' مقصد سرور است، یعنی. برای چیست تا سرور بتواند عملکرد اصلی خود را انجام دهد. نقش خاصی در نقش سرور» شامل تمامی نرم افزارهای لازم برای این کار ( برنامه ها، خدمات).

سرور در صورت استفاده فعال می تواند یک نقش داشته باشد، یا اگر هر یک از آنها به شدت سرور را بارگذاری نکرده و به ندرت استفاده می شود، چندین نقش داشته باشد.

یک نقش سرور می تواند شامل چندین سرویس نقش باشد که عملکرد نقش را فراهم می کند. به عنوان مثال، در نقش سرور " وب سرور (IIS)” شامل تعداد نسبتاً زیادی خدمات و نقش ” سرور DNS» خدمات نقش را شامل نمی شود، زیرا این نقش تنها یک عملکرد را انجام می دهد.

Role Services بسته به نیاز شما می تواند همه با هم یا به صورت جداگانه نصب شود. در اصل، نصب یک نقش به معنای نصب یک یا چند سرویس آن است.

ویندوز سرور همچنین دارای " اجزاء» سرور

اجزای سرور (ویژگی)ابزارهای نرم افزاری هستند که نقش سرور نیستند، اما قابلیت های یک یا چند نقش را گسترش می دهند یا یک یا چند نقش را مدیریت می کنند.

اگر سرور سرویس ها یا اجزای مورد نیاز برای عملکرد نقش ها را نداشته باشد، نمی توان برخی از نقش ها را نصب کرد. بنابراین، در زمان نصب چنین نقش هایی " اضافه کردن نقش ها و ویژگی ها جادوگر» خود، به طور خودکار از شما می خواهد که خدمات یا اجزای نقش اضافی و ضروری را نصب کنید.

شرح نقش های سرور ویندوز سرور 2016

احتمالاً از قبل با بسیاری از نقش‌هایی که در ویندوز سرور 2016 وجود دارند آشنا هستید، زیرا مدت زیادی است که وجود دارند، اما همانطور که گفتم با هر نسخه جدید ویندوز سرور، نقش‌های جدیدی اضافه می‌شود که ممکن است کار نکرده باشید. با، اما ما دوست داریم بدانیم آنها برای چه هستند، بنابراین بیایید شروع به بررسی آنها کنیم.

توجه داشته باشید! ویژگی های جدید سیستم عامل ویندوز سرور 2016 را می توانید در مطلب "نصب ویندوز سرور 2016 و مروری بر ویژگی های جدید" بخوانید..

از آنجایی که اغلب نصب و مدیریت نقش‌ها، سرویس‌ها و مؤلفه‌ها با استفاده از Windows PowerShell انجام می‌شود، من برای هر نقش و سرویس آن نامی را مشخص می‌کنم که می‌تواند به ترتیب در PowerShell برای نصب یا مدیریت آن استفاده شود.

سرور DHCP

این نقش به شما اجازه می‌دهد تا آدرس‌های IP پویا و تنظیمات مربوطه را برای رایانه‌ها و دستگاه‌های موجود در شبکه خود به صورت مرکزی پیکربندی کنید. نقش سرور DHCP خدمات نقش ندارد.

نام Windows PowerShell DHCP است.

سرور DNS

این نقش برای تفکیک نام در شبکه های TCP/IP در نظر گرفته شده است. نقش سرور DNS DNS را ارائه و نگهداری می کند. برای ساده‌تر کردن مدیریت سرور DNS، معمولاً روی همان سروری که Active Directory Domain Services نصب می‌شود، نصب می‌شود. نقش سرور DNS خدمات نقش ندارد.

نام نقش برای PowerShell DNS است.

Hyper-V

با نقش Hyper-V می توانید یک محیط مجازی ایجاد و مدیریت کنید. به عبارت دیگر ابزاری برای ایجاد و مدیریت ماشین های مجازی است.

نام نقش Windows PowerShell Hyper-V است.

گواهی سلامت دستگاه

نقش " » به شما امکان می دهد سلامت دستگاه را بر اساس شاخص های اندازه گیری شده پارامترهای امنیتی، مانند نشانگرهای وضعیت بوت امن و Bitlocker روی مشتری، ارزیابی کنید.

برای عملکرد این نقش، خدمات و اجزای بسیاری از نقش مورد نیاز است، به عنوان مثال: چندین سرویس از نقش " وب سرور (IIS)"، جزء " "، جزء " ویژگی های NET Framework 4.6».

در طول نصب، تمام خدمات و ویژگی های نقش مورد نیاز به طور خودکار انتخاب می شوند. نقش " گواهی سلامت دستگاه» هیچ سرویس نقشی وجود ندارد.

نام PowerShell DeviceHealthAttestationService است.

وب سرور (IIS)

زیرساخت کاربردی وب قابل اعتماد، قابل مدیریت و مقیاس پذیر را فراهم می کند. متشکل از تعداد نسبتاً زیادی خدمات (43).

نام Windows PowerShell Web-Server است.

شامل خدمات نقش زیر ( در پرانتز نام Windows PowerShell را نشان خواهم داد):

وب سرور (Web-WebServer)- گروهی از خدمات نقش که از وب سایت های HTML، برنامه های افزودنی ASP.NET، ASP و وب سرور پشتیبانی می کند. شامل خدمات زیر است:

امنیت (امنیت وب)- مجموعه ای از خدمات برای تضمین امنیت وب سرور.
- درخواست فیلتر (Web-Filtering) - با استفاده از این ابزارها، می توانید تمام درخواست های ارسالی به سرور را پردازش کنید و این درخواست ها را بر اساس قوانین خاصی که توسط مدیر وب سرور تعیین شده است فیلتر کنید.
- آدرس IP و محدودیت های دامنه (Web-IP-Security) - این ابزارها به شما امکان می دهند بر اساس آدرس IP یا نام دامنه منبع در درخواست، دسترسی به محتوای یک وب سرور را مجاز یا رد کنید.
- مجوز URL (Web-Url-Auth) - ابزارهایی به شما امکان می دهند قوانینی را برای محدود کردن دسترسی به محتوای وب ایجاد کنید و آنها را با کاربران، گروه ها یا دستورات هدر HTTP مرتبط کنید.
- احراز هویت خلاصه (Web-Digest-Auth) - این احراز هویت سطح بالاتری از امنیت را نسبت به احراز هویت اولیه فراهم می کند. احراز هویت Digest برای احراز هویت کاربر مانند ارسال هش رمز عبور به کنترل کننده دامنه ویندوز عمل می کند.
- احراز هویت پایه (Web-Basic-Auth) - این روش احراز هویت سازگاری قوی با مرورگر وب را فراهم می کند. استفاده از آن در شبکه های داخلی کوچک توصیه می شود. عیب اصلی این روش این است که رمزهای عبور ارسال شده از طریق شبکه به راحتی قابل رهگیری و رمزگشایی هستند، بنابراین از این روش در ترکیب با SSL استفاده کنید.
- احراز هویت ویندوز (Web-Windows-Auth) یک احراز هویت مبتنی بر احراز هویت دامنه ویندوز است. به عبارت دیگر، می توانید از حساب های Active Directory برای احراز هویت کاربران وب سایت های خود استفاده کنید.
- احراز هویت نگاشت گواهی مشتری (Web-Client-Auth) - این روش احراز هویت از گواهی مشتری استفاده می کند. این نوع از خدمات Active Directory برای ارائه نقشه گواهی استفاده می کند.
- IIS Client Certificate Mapping Authentication (Web-Cert-Auth) - این روش همچنین از گواهینامه های مشتری برای احراز هویت استفاده می کند، اما از IIS برای ارائه نقشه گواهی استفاده می کند. این نوع عملکرد بهتری را ارائه می دهد.
- پشتیبانی از گواهینامه SSL متمرکز (Web-CertProvider) - این ابزارها به شما امکان می دهند گواهینامه های سرور SSL را به طور متمرکز مدیریت کنید، که روند مدیریت این گواهی ها را بسیار ساده می کند.
قابلیت سرویس و تشخیص (Web-Health)- مجموعه ای از خدمات برای نظارت، مدیریت و عیب یابی سرورهای وب، سایت ها و برنامه های کاربردی:
- ورود به سیستم http (Web-Http-Logging) - ابزارهایی گزارش فعالیت وب سایت را در یک سرور مشخص ارائه می دهند، به عنوان مثال. ورود ورود؛
- ODBC Logging (Web-ODBC-Logging) – این ابزارها همچنین گزارش فعالیت وب سایت را ارائه می دهند، اما از ثبت آن فعالیت در پایگاه داده سازگار با ODBC پشتیبانی می کنند.
- Request Monitor (Web-Request-Monitor) ابزاری است که به شما امکان می دهد با رهگیری اطلاعات مربوط به درخواست های HTTP در فرآیند کارگر IIS، سلامت یک برنامه وب را نظارت کنید.
- ثبت سفارشی (Web-Custom-Logging) - با استفاده از این ابزارها، می توانید گزارش فعالیت وب سرور را در قالبی پیکربندی کنید که به طور قابل توجهی با فرمت استاندارد IIS متفاوت است. به عبارت دیگر، شما می توانید ماژول ورود به سیستم خود را ایجاد کنید.
- ابزارهای ثبت‌نام (Web-Log-Libraries) ابزارهایی برای مدیریت گزارش‌های وب سرور و خودکارسازی وظایف گزارش‌گیری هستند.
- ردیابی (Web-Http-Tracing) ابزاری برای تشخیص و رفع تخلفات در برنامه های تحت وب است.
توابع رایج http (Web-Common-Http)– مجموعه ای از خدماتی که عملکرد پایه HTTP را ارائه می کنند:
- سند پیش‌فرض (Web-Default-Doc) - این ویژگی به شما امکان می‌دهد تا زمانی که کاربران سند خاصی را در URL درخواست مشخص نمی‌کنند، وب سرور را برای بازگرداندن یک سند پیش‌فرض پیکربندی کنید و دسترسی کاربران به وب‌سایت را آسان‌تر می‌کند. دامنه، بدون مشخص کردن فایل؛
- مرور دایرکتوری (Web-Dir-Browsing) - از این ابزار می توان برای پیکربندی یک وب سرور استفاده کرد تا کاربران بتوانند لیستی از همه فهرست ها و فایل های یک وب سایت را مشاهده کنند. به عنوان مثال، برای مواردی که کاربران فایلی را در URL درخواست مشخص نمی‌کنند و اسناد پیش‌فرض یا غیرفعال هستند یا پیکربندی نشده‌اند.
- خطاهای http (Web-Http-Errors) - این ویژگی به شما امکان می دهد پیام های خطایی را پیکربندی کنید که در صورت شناسایی خطا توسط وب سرور به مرورگرهای وب کاربران بازگردانده می شوند. این ابزار برای ارائه آسانتر پیام های خطا به کاربران استفاده می شود.
- محتوای ثابت (Web-Static-Content) - این ابزار به شما امکان می دهد از محتوا در یک وب سرور در قالب فرمت های فایل ثابت مانند فایل های HTML یا فایل های تصویری استفاده کنید.
- http redirect (Web-Http-Redirect) - با استفاده از این ویژگی، می توانید درخواست کاربر را به یک مقصد خاص هدایت کنید. این تغییر مسیر است.
- WebDAV Publishing (Web-DAV-Publishing) - به شما امکان می دهد از فناوری WebDAV در سرور وب IIS استفاده کنید. WebDAV ( تالیف و نسخه سازی وب توزیع شده) فناوری است که به کاربران اجازه می دهد با هم کار کنند ( خواندن، ویرایش، خواندن خواص، کپی، انتقال) روی فایل ها روی سرورهای وب راه دور با استفاده از پروتکل HTTP.
عملکرد (عملکرد وب)- مجموعه ای از خدمات برای دستیابی به عملکرد بالاتر وب سرور، از طریق کش خروجی و مکانیسم های فشرده سازی رایج مانند Gzip و Deflate:
- فشرده‌سازی محتوای استاتیک (Web-Stat-Compression) ابزاری برای سفارشی‌سازی فشرده‌سازی محتوای استاتیک http است که امکان استفاده کارآمدتر از پهنای باند را فراهم می‌کند، در حالی که بدون بار غیرضروری CPU.
- فشرده سازی محتوای پویا (Web-Dyn-Compression) ابزاری برای پیکربندی فشرده سازی محتوای پویا HTTP است. این ابزار استفاده کارآمدتری از پهنای باند را فراهم می کند، اما در این مورد، بار CPU سرور مرتبط با فشرده سازی پویا می تواند سایت را کند کند، اگر بار CPU حتی بدون فشرده سازی زیاد باشد.
توسعه برنامه (Web-App-Dev)- مجموعه ای از خدمات و ابزار برای توسعه و میزبانی برنامه های کاربردی وب و به عبارت دیگر فناوری های توسعه وب سایت:
- ASP (Web-ASP) محیطی برای پشتیبانی و توسعه وب سایت ها و برنامه های کاربردی وب با استفاده از فناوری ASP است. در حال حاضر، یک فناوری توسعه وب سایت جدیدتر و پیشرفته تر وجود دارد - ASP.NET.
- ASP.NET 3.5 (Web-Asp-Net) یک محیط توسعه شی گرا برای وب سایت ها و برنامه های کاربردی وب با استفاده از فناوری ASP.NET است.
- ASP.NET 4.6 (Web-Asp-Net45) همچنین یک محیط توسعه شی گرا برای وب سایت ها و برنامه های کاربردی وب با استفاده از نسخه جدید ASP.NET است.
- CGI (Web-CGI) توانایی استفاده از CGI برای انتقال اطلاعات از یک وب سرور به یک برنامه خارجی است. CGI نوعی استاندارد رابط برای اتصال یک برنامه خارجی به یک وب سرور است. یک اشکال وجود دارد، استفاده از CGI بر عملکرد تأثیر می گذارد.
- گنجاندن سمت سرور (SSI) (Web-Includes) از زبان برنامه نویسی SSI پشتیبانی می کند ( سمت سرور را فعال کنید) که برای تولید پویا صفحات HTML استفاده می شود.
- مقداردهی اولیه برنامه (Web-AppInit) - این ابزار وظایف اولیه سازی برنامه های کاربردی وب را قبل از ارسال یک صفحه وب انجام می دهد.
- پروتکل WebSocket (Web-WebSockets) - اضافه کردن توانایی ایجاد برنامه های کاربردی سرور که با استفاده از پروتکل WebSocket ارتباط برقرار می کنند. WebSocket پروتکلی است که می تواند داده ها را به طور همزمان بین یک مرورگر و یک وب سرور از طریق اتصال TCP ارسال و دریافت کند، که نوعی پسوند پروتکل HTTP است.
- پسوندهای ISAPI (Web-ISAPI-Ext) - پشتیبانی از توسعه پویا محتوای وب با استفاده از رابط برنامه نویسی برنامه ISAPI. ISAPI یک API برای وب سرور IIS است. برنامه های ISAPI بسیار سریعتر از فایل های ASP یا فایل هایی هستند که اجزای COM+ را فراخوانی می کنند.
- NET 3.5 Extensibility (Web-Net-Ext) یک ویژگی توسعه پذیری .NET 3.5 است که به شما امکان می دهد عملکرد وب سرور را در سراسر خط لوله پردازش درخواست، پیکربندی و رابط کاربری تغییر دهید، اضافه کنید و گسترش دهید.
- NET 4.6 Extensibility (Web-Net-Ext45) یک ویژگی توسعه پذیری .NET 4.6 است که همچنین به شما امکان می دهد عملکرد وب سرور را در کل خط لوله پردازش درخواست، پیکربندی و رابط کاربری تغییر دهید، اضافه کنید و گسترش دهید.
- فیلترهای ISAPI (Web-ISAPI-Filter) - پشتیبانی از فیلترهای ISAPI را اضافه کنید. فیلترهای ISAPI برنامه هایی هستند که زمانی فراخوانی می شوند که یک وب سرور درخواست HTTP خاصی را دریافت کند تا توسط این فیلتر پردازش شود.

FTP - سرور (Web-Ftp-Server)– خدماتی که از پروتکل FTP پشتیبانی می کنند. ما با جزئیات بیشتری در مورد سرور FTP در مواد صحبت کردیم - "نصب و پیکربندی سرور FTP در ویندوز سرور 2016". شامل خدمات زیر است:

سرویس FTP (Web-Ftp-Service) - پشتیبانی از پروتکل FTP را در سرور وب اضافه می کند.
قابلیت توسعه FTP (Web-Ftp-Ext) - قابلیت های استاندارد FTP را گسترش می دهد، مانند افزودن پشتیبانی برای ویژگی هایی مانند ارائه دهندگان سفارشی، کاربران ASP.NET یا کاربران مدیر IIS.

ابزارهای مدیریت (Web-Mgmt-Tools)ابزارهای مدیریتی برای وب سرور IIS 10 هستند که عبارتند از: رابط کاربری IIS، ابزارهای خط فرمان و اسکریپت ها.

کنسول مدیریت IIS (Web-Mgmt-Console) رابط کاربری برای مدیریت IIS است.
مجموعه کاراکترها و ابزارهای مدیریت IIS (Web-Scripting-Tools) ابزارها و اسکریپت هایی برای مدیریت IIS با استفاده از خط فرمان یا اسکریپت ها هستند. برای مثال می توان از آنها برای کنترل خودکار استفاده کرد.
سرویس مدیریت (Web-Mgmt-Service) - این سرویس توانایی مدیریت وب سرور از راه دور از رایانه دیگری را با استفاده از IIS Manager اضافه می کند.
IIS 6 Compatibility Management (Web-Mgmt-Compat) - برای برنامه ها و اسکریپت هایی که از دو API IIS استفاده می کنند سازگاری ارائه می دهد. از اسکریپت های IIS 6 موجود می توان برای مدیریت وب سرور IIS 10 استفاده کرد:
- IIS 6 Compatibility Metabase (Web-Metabase) یک ابزار سازگاری است که به شما امکان می دهد برنامه ها و مجموعه کاراکترهایی را که از نسخه های قبلی IIS منتقل شده اند اجرا کنید.
- IIS 6 Scripting Tools (Web-Lgcy-Scripting) - این ابزارها به شما امکان می دهند از همان سرویس های اسکریپت IIS 6 استفاده کنید که برای مدیریت IIS 6 در IIS 10 ایجاد شده اند.
- IIS 6 Management Console (Web-Lgcy-Mgmt-Console) ابزاری برای مدیریت سرورهای IIS 6.0 راه دور است.
- IIS 6 WMI Compatibility (Web-WMI) رابط های برنامه نویسی ابزار مدیریت ویندوز (WMI) برای کنترل برنامه نویسی و خودکارسازی وظایف سرور وب IIS 10.0 با استفاده از مجموعه ای از اسکریپت های ایجاد شده در یک ارائه دهنده WMI است.

خدمات دامنه اکتیو دایرکتوری

نقش " خدمات دامنه اکتیو دایرکتوری» (AD DS) یک پایگاه داده توزیع شده را فراهم می کند که اطلاعات مربوط به منابع شبکه را ذخیره و پردازش می کند. این نقش برای سازماندهی عناصر شبکه مانند کاربران، رایانه‌ها و سایر دستگاه‌ها در یک ساختار محدود سلسله مراتبی استفاده می‌شود. ساختار سلسله مراتبی شامل جنگل‌ها، دامنه‌های درون یک جنگل و واحدهای سازمانی (OU) در هر دامنه است. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود.

نام نقش Windows PowerShell AD-Domain-Services است.

Windows Server Essentials Mode

این نقش یک زیرساخت رایانه ای است و ویژگی های راحت و کارآمدی را ارائه می دهد، به عنوان مثال: ذخیره داده های مشتری در یک مکان متمرکز و محافظت از این داده ها با پشتیبان گیری از سرور و رایانه های مشتری، دسترسی به وب از راه دور، که به شما امکان می دهد تقریباً از هر دستگاهی به داده ها دسترسی داشته باشید. . این نقش به چندین سرویس و ویژگی نقش نیاز دارد، به عنوان مثال: ویژگی های BranchCache، پشتیبان گیری از سرور ویندوز، مدیریت خط مشی گروه، سرویس نقش. فضاهای نام DFS».

نام PowerShell ServerEssentialsRole است.

کنترلر شبکه

این نقش که در ویندوز سرور 2016 معرفی شد، یک نقطه اتوماسیون واحد برای مدیریت، نظارت و تشخیص زیرساخت شبکه فیزیکی و مجازی در مرکز داده را فراهم می کند. با استفاده از این نقش می‌توانید زیرشبکه‌های IP، VLAN، آداپتورهای شبکه فیزیکی میزبان‌های Hyper-V را از یک نقطه پیکربندی کنید، سوئیچ‌های مجازی، روترهای فیزیکی، تنظیمات فایروال و دروازه‌های VPN را مدیریت کنید.

نام Windows PowerShell NetworkController است.

سرویس نگهبان نود

این نقش سرور Hosted Guardian Service (HGS) است و گواهی و خدمات حفاظتی کلیدی را ارائه می دهد که به میزبان های محافظت شده اجازه می دهد ماشین های مجازی محافظت شده را اجرا کنند. برای عملکرد این نقش، چندین نقش و مؤلفه اضافی مورد نیاز است، به عنوان مثال: Active Directory Domain Services، Web Server (IIS)، Failover Clustering" و دیگران.

نام PowerShell HostGuardianServiceRole است.

Active Directory Lightweight Directory Services

نقش " Active Directory Lightweight Directory Services» (AD LDS) نسخه سبک وزن AD DS است که عملکرد کمتری دارد اما نیازی به استقرار دامنه یا کنترل کننده دامنه ندارد و وابستگی ها و محدودیت های دامنه مورد نیاز AD DS را ندارد. AD LDS روی پروتکل LDAP اجرا می شود ( پروتکل دسترسی به دایرکتوری سبک وزن). شما می توانید چندین نمونه AD LDS را با طرحواره های مدیریت شده مستقل در یک سرور مستقر کنید.

نام PowerShell ADLDS است.

خدمات چند نقطه ای

همچنین یک نقش جدید است که در ویندوز سرور 2016 جدید است. خدمات MultiPoint (MPS) عملکرد پایه دسکتاپ از راه دور را ارائه می دهد که به چندین کاربر اجازه می دهد به طور همزمان و مستقل روی یک رایانه کار کنند. برای نصب و اجرای این نقش، باید چندین سرویس و مؤلفه اضافی را نصب کنید، به عنوان مثال: Print Server، Windows Search Service، XPS Viewer و موارد دیگر، که همه آنها به طور خودکار در هنگام نصب MPS انتخاب می شوند.

نام نقش برای PowerShell MultiPointServerRole است.

سرویس های به روز رسانی سرور ویندوز

با این نقش (WSUS)، مدیران سیستم می توانند به روز رسانی های مایکروسافت را مدیریت کنند. به عنوان مثال، گروه های جداگانه ای از رایانه ها را برای مجموعه های مختلف به روز رسانی ایجاد کنید، همچنین گزارش هایی در مورد مطابقت رایانه ها با الزامات و به روز رسانی هایی که باید نصب شوند، دریافت کنید. برای عملکرد" سرویس های به روز رسانی سرور ویندوز» شما به خدمات نقش و مؤلفه هایی مانند: وب سرور (IIS)، پایگاه داده داخلی ویندوز، سرویس فعال سازی فرآیند ویندوز نیاز دارید.

نام Windows PowerShell UpdateServices است.

اتصال WID (UpdateServices-WidDB) - روی WID ( پایگاه داده داخلی ویندوز) پایگاه داده استفاده شده توسط WSUS. به عبارت دیگر، WSUS داده های سرویس خود را در WID ذخیره می کند.
WSUS Services (UpdateServices-Services) خدمات نقش WSUS مانند سرویس به روز رسانی، گزارش وب سرویس، سرویس وب از راه دور API، سرویس وب سرویس گیرنده، وب سرویس احراز هویت ساده وب، سرویس همگام سازی سرور و سرویس وب تأیید اعتبار DSS است.
اتصال به سرور SQL (UpdateServices-DB) یک نصب مؤلفه است که به سرویس WSUS اجازه می دهد به پایگاه داده مایکروسافت SQL Server متصل شود. این گزینه ذخیره سازی داده های سرویس را در پایگاه داده Microsoft SQL Server فراهم می کند. در این حالت، شما باید حداقل یک نمونه از SQL Server را نصب کرده باشید.

خدمات فعال سازی مجوز حجمی

با این نقش سرور می توانید صدور مجوزهای حجمی برای نرم افزارهای مایکروسافت را خودکار و ساده کنید و همچنین به شما امکان مدیریت این مجوزها را می دهد.

نام PowerShell VolumeActivation است.

خدمات چاپ و اسناد

این نقش سرور برای به اشتراک گذاشتن چاپگرها و اسکنرها در یک شبکه، پیکربندی و مدیریت مرکزی سرورهای چاپ و اسکن، و مدیریت چاپگرها و اسکنرهای شبکه طراحی شده است. خدمات چاپ و سند همچنین به شما امکان می دهد اسناد اسکن شده را از طریق ایمیل، به اشتراک گذاری شبکه یا سایت های Windows SharePoint Services ارسال کنید.

نام PowerShell Print-Services است.

سرور چاپ (Print-Server) - این سرویس نقش شامل " مدیریت چاپ"، که برای مدیریت چاپگرها یا سرورهای چاپ و همچنین برای انتقال چاپگرها و سایر سرورهای چاپ استفاده می شود.
چاپ از طریق اینترنت (Print-Internet) - برای پیاده سازی چاپ از طریق اینترنت، وب سایتی ایجاد می شود که از طریق آن کاربران می توانند کارهای چاپی را روی سرور مدیریت کنند. برای اینکه این سرویس کار کند، همانطور که متوجه شدید، باید " را نصب کنید وب سرور (IIS)". همه اجزای مورد نیاز به طور خودکار انتخاب می شوند زمانی که این کادر را در طول مراحل نصب سرویس نقش علامت بزنید. چاپ اینترنتی»;
سرور اسکن توزیع شده (Print-Scan-Server) سرویسی است که به شما امکان می دهد اسناد اسکن شده را از اسکنرهای شبکه دریافت کرده و به مقصد ارسال کنید. این سرویس همچنین حاوی " مدیریت اسکن"، که برای مدیریت اسکنرهای شبکه و پیکربندی اسکن استفاده می شود.
سرویس LPD (Print-LPD-Service) - سرویس LPD ( دیمون چاپگر خطی) به رایانه های مبتنی بر یونیکس و سایر رایانه هایی که از سرویس چاپگر خط راه دور (LPR) استفاده می کنند اجازه می دهد تا در چاپگرهای مشترک سرور چاپ کنند.

خط مشی شبکه و خدمات دسترسی

نقش " » (NPAS) به سرور خط مشی شبکه (NPS) اجازه می دهد تا دسترسی به شبکه، احراز هویت و مجوز، و سیاست های سلامت کلاینت را تنظیم و اجرا کند، به عبارت دیگر، برای ایمن سازی شبکه.

نام Windows PowerShell NPAS است.

Windows Deployment Services

با این نقش می توانید سیستم عامل ویندوز را از راه دور روی شبکه نصب کنید.

نام نقش PowerShell WDS است.

Deployment Server (WDS-Deployment) - این سرویس نقش برای استقرار و پیکربندی از راه دور سیستم عامل های ویندوز طراحی شده است. همچنین به شما امکان می دهد تصاویر را برای استفاده مجدد ایجاد و سفارشی کنید.
سرور حمل و نقل (WDS-Transport) - این سرویس شامل اجزای اصلی شبکه است که با استفاده از آنها می توانید داده ها را با چند کستینگ روی یک سرور مستقل انتقال دهید.

خدمات گواهی اکتیو دایرکتوری

این نقش برای ایجاد مقامات گواهی و خدمات نقش مرتبط است که به شما امکان می دهد گواهینامه ها را برای برنامه های مختلف صادر و مدیریت کنید.

نام Windows PowerShell AD-Certificate است.

شامل خدمات نقش زیر است:

مرجع صدور گواهینامه (ADCS-Cert-Authority) - با استفاده از این سرویس نقش، می توانید گواهینامه هایی را برای کاربران، رایانه ها و خدمات صادر کنید و همچنین اعتبار گواهی را مدیریت کنید.
خدمات وب خط مشی ثبت نام گواهی (ADCS-Enroll-Web-Pol) - این سرویس به کاربران و رایانه ها اجازه می دهد تا اطلاعات خط مشی ثبت نام گواهی را از یک مرورگر وب دریافت کنند، حتی اگر رایانه عضو یک دامنه نباشد. برای عملکرد آن لازم است وب سرور (IIS)»;
خدمات وب ثبت نام گواهی (ADCS-Enroll-Web-Svc) - این سرویس به کاربران و رایانه ها اجازه می دهد تا گواهی ها را با استفاده از مرورگر وب از طریق HTTPS ثبت نام کرده و تمدید کنند، حتی اگر رایانه عضو یک دامنه نباشد. همچنین نیاز به عملکرد دارد وب سرور (IIS)»;
پاسخگوی آنلاین (ADCS-Online-Cert) - این سرویس برای بررسی ابطال گواهی برای مشتریان طراحی شده است. به عبارت دیگر، درخواست وضعیت ابطال گواهی‌های خاص را می‌پذیرد، وضعیت آن گواهی‌ها را ارزیابی می‌کند و یک پاسخ امضا شده با اطلاعات مربوط به وضعیت را ارسال می‌کند. برای عملکرد سرویس، لازم است وب سرور (IIS)»;
Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) - این سرویس یک رابط وب برای کاربران فراهم می کند تا کارهایی مانند درخواست و تمدید گواهی ها، دریافت CRL و ثبت گواهی کارت هوشمند را انجام دهند. برای عملکرد سرویس، لازم است وب سرور (IIS)»;
سرویس ثبت نام دستگاه شبکه (ADCS-Device-Enrollment)—با استفاده از این سرویس، می توانید گواهینامه ها را برای روترها و سایر دستگاه های شبکه که دارای حساب شبکه نیستند، صادر و مدیریت کنید. برای عملکرد سرویس، لازم است وب سرور (IIS)».

خدمات دسکتاپ از راه دور

یک نقش سرور که می تواند برای دسترسی به دسکتاپ مجازی، دسکتاپ مبتنی بر جلسه و RemoteApps استفاده شود.

نام نقش Windows PowerShell Remote-Desktop-Services است.

شامل خدمات زیر است:

دسترسی به وب از راه دور دسکتاپ (RDS-Web-Access) - این سرویس نقش به کاربران اجازه می دهد تا از طریق "دسترسی به دسکتاپ های راه دور و برنامه های RemoteApp" شروع کنید» یا با استفاده از یک مرورگر وب؛
مجوز دسکتاپ از راه دور (RDS-Licensing) - این سرویس برای مدیریت مجوزهایی طراحی شده است که برای اتصال به سرور میزبان جلسه از راه دور دسکتاپ یا دسکتاپ مجازی لازم است. می توان از آن برای نصب، صدور مجوزها و پیگیری در دسترس بودن آنها استفاده کرد. این سرویس نیازمند " وب سرور (IIS)»;
Remote Desktop Connection Broker (RDS-Connection-Broker) یک سرویس نقش است که قابلیت های زیر را ارائه می دهد: اتصال مجدد کاربر به دسکتاپ مجازی موجود، برنامه RemoteApp و دسکتاپ مبتنی بر جلسه، و همچنین تعادل بار بین دسکتاپ سرورهای میزبان جلسه از راه دور یا بین دسکتاپ مجازی تلفیقی. این سرویس به " »;
میزبان مجازی سازی دسکتاپ از راه دور (DS-Virtualization) - این سرویس به کاربران اجازه می دهد تا با استفاده از RemoteApp و Desktop Connection به دسکتاپ مجازی متصل شوند. این سرویس در ارتباط با Hyper-V کار می کند، یعنی. این نقش باید نصب شود.
میزبان جلسه دسکتاپ از راه دور (RDS-RD-Server) - این سرویس می تواند برنامه های RemoteApp و دسکتاپ های مبتنی بر جلسه را روی سرور میزبانی کند. دسترسی از طریق کلاینت Remote Desktop Connection یا RemoteApps انجام می شود.
دروازه دسکتاپ از راه دور (RDS-Gateway) - این سرویس به کاربران مجاز از راه دور اجازه می دهد تا به دسکتاپ های مجازی، RemoteApps و دسکتاپ های مبتنی بر جلسه در یک شبکه شرکتی یا از طریق اینترنت متصل شوند. این سرویس به خدمات و اجزای اضافی زیر نیاز دارد: وب سرور (IIS)», « خط مشی شبکه و خدمات دسترسی», « RPC روی پروکسی HTTP».

AD RMS

این یک نقش سرور است که به شما امکان می دهد از اطلاعات در برابر استفاده غیرمجاز محافظت کنید. هویت کاربر را تأیید می کند و مجوزهایی را به کاربران مجاز برای دسترسی به داده های محافظت شده اعطا می کند. این نقش به خدمات و اجزای اضافی نیاز دارد: وب سرور (IIS)», « سرویس فعال سازی فرآیند ویندوز», « ویژگی های NET Framework 4.6».

نام Windows PowerShell ADRMS است.

سرور مدیریت حقوق دایرکتوری فعال (ADRMS-Server) - سرویس نقش اصلی، مورد نیاز برای نصب؛
پشتیبانی فدراسیون هویت (ADRMS-Identity) یک سرویس نقش اختیاری است که به هویت های فدرال امکان می دهد محتوای محافظت شده را با استفاده از خدمات فدراسیون اکتیو دایرکتوری مصرف کنند.

AD FS

این نقش، فدراسیون هویت ساده و ایمن و عملکرد یک ورود (SSO) را برای وب‌سایت‌هایی که از مرورگر استفاده می‌کنند، فراهم می‌کند.

نام PowerShell ADFS-Federation است.

دسترسی از راه دور

این نقش اتصال را از طریق DirectAccess، VPN و Web Application Proxy فراهم می کند. همچنین نقش دسترسی از راه دور"قابلیت های مسیریابی سنتی، از جمله ترجمه آدرس شبکه (NAT) و سایر گزینه های اتصال را ارائه می دهد. این نقش به خدمات و ویژگی های اضافی نیاز دارد: وب سرور (IIS)», « پایگاه داده داخلی ویندوز».

نام نقش Windows PowerShell RemoteAccess است.

DirectAccess و VPN (RAS) (DirectAccess-VPN) - این سرویس به کاربران امکان می دهد در هر زمان با دسترسی به اینترنت از طریق DirectAccess به شبکه شرکت متصل شوند و همچنین اتصالات VPN را در ترکیب با فناوری های تونل زنی و رمزگذاری داده سازماندهی کنند.
مسیریابی (مسیریابی) - این سرویس از روترهای NAT، روترهای LAN با پروتکل های BGP، پروتکل های RIP و روترهایی با پشتیبانی چندپخشی (پراکسی IGMP) پشتیبانی می کند.
پروکسی برنامه وب (Web-Application-Proxy) - این سرویس به شما امکان می دهد برنامه های کاربردی را بر اساس پروتکل های HTTP و HTTPS از شبکه شرکتی به دستگاه های مشتری که خارج از شبکه شرکت هستند منتشر کنید.

خدمات فایل و ذخیره سازی

این یک نقش سرور است که می‌تواند برای اشتراک‌گذاری فایل‌ها و پوشه‌ها، مدیریت و کنترل اشتراک‌گذاری‌ها، تکرار فایل‌ها، ارائه جستجوی سریع فایل‌ها و اعطای دسترسی به کامپیوترهای سرویس گیرنده یونیکس استفاده شود. خدمات فایل و به ویژه سرور فایل را با جزئیات بیشتری در مطلب "نصب فایل سرور (فایل سرور) در ویندوز سرور 2016 مورد بحث قرار دادیم.

نام Windows PowerShell FileAndStorage-Services است.

خدمات ذخیره سازی- این سرویس عملکرد مدیریت ذخیره سازی را ارائه می دهد که همیشه نصب است و قابل حذف نیست.

سرویس های فایل و سرویس های iSCSI (سرویس های فایل)فناوری‌هایی هستند که مدیریت سرورها و ذخیره‌سازی‌های فایل را ساده می‌کنند، فضای دیسک را ذخیره می‌کنند، امکان تکرار و ذخیره‌سازی فایل‌ها در شاخه‌ها را فراهم می‌کنند و همچنین اشتراک‌گذاری فایل را از طریق پروتکل NFS فراهم می‌کنند. شامل خدمات نقش زیر است:

سرور فایل (FS-FileServer) - یک سرویس نقش که پوشه های مشترک را مدیریت می کند و دسترسی کاربران را به فایل های این رایانه از طریق شبکه فراهم می کند.
Deduplication (FS-Data-Deduplication) - این سرویس با ذخیره تنها یک کپی از داده های یکسان در یک حجم، فضای دیسک را ذخیره می کند.
File Server Resource Manager (FS-Resource-Manager) - با استفاده از این سرویس می توانید فایل ها و پوشه ها را در سرور فایل مدیریت کنید، گزارش های ذخیره سازی ایجاد کنید، فایل ها و پوشه ها را طبقه بندی کنید، سهمیه پوشه ها را پیکربندی کنید و سیاست های مسدودسازی فایل را تعریف کنید.
ارائه‌دهنده ذخیره‌سازی هدف iSCSI (ارائه‌دهندگان سخت‌افزار VDS و VSS) (iSCSITarget-VSS-VDS) - این سرویس به برنامه‌های کاربردی روی سرور متصل به هدف iSCSI اجازه می‌دهد تا حجم‌های کپی را روی دیسک‌های مجازی iSCSI سایه بزنند.
فضاهای نام DFS (FS-DFS-Namespace) - با استفاده از این سرویس، می توانید پوشه های به اشتراک گذاشته شده در سرورهای مختلف را در یک یا چند فضای نام با ساختار منطقی گروه بندی کنید.
پوشه های کاری (FS-SyncShareService) - این سرویس به شما امکان می دهد از فایل های کاری در رایانه های مختلف از جمله کاری و شخصی استفاده کنید. می‌توانید فایل‌های خود را در پوشه‌های کاری ذخیره کنید، آنها را همگام‌سازی کنید و از شبکه محلی یا اینترنت به آنها دسترسی داشته باشید. برای اینکه سرویس کار کند، جزء " IIS در فرآیند وب هسته»;
DFS Replication (FS-DFS-Replication) یک موتور تکثیر داده با چند سرور است که به شما امکان می دهد پوشه ها را از طریق یک اتصال LAN یا WAN همگام سازی کنید. این فناوری از پروتکل فشرده سازی دیفرانسیل از راه دور (RDC) برای به روز رسانی تنها بخشی از فایل هایی که از آخرین تکرار تغییر کرده اند استفاده می کند. DFS Replication را می توان با یا بدون فضای نام DFS استفاده کرد.
سرور برای NFS (FS-NFS-Service) - این سرویس به این رایانه اجازه می دهد تا فایل ها را با رایانه های مبتنی بر یونیکس و سایر رایانه هایی که از پروتکل سیستم فایل شبکه (NFS) استفاده می کنند به اشتراک بگذارد.
iSCSI Target Server (FS-iSCSITarget-Server) - خدمات و مدیریت را برای اهداف iSCSI ارائه می دهد.
سرویس BranchCache برای فایل های شبکه (FS-BranchCache) - این سرویس پشتیبانی BranchCache را در این فایل سرور ارائه می دهد.
File Server VSS Agent Service (FS-VSS-Agent) - این سرویس امکان کپی سایه حجمی را برای برنامه هایی که فایل های داده را در این فایل سرور ذخیره می کنند، می دهد.

سرور فکس

این نقش فکس‌ها را ارسال و دریافت می‌کند و به شما امکان می‌دهد منابع فکس مانند مشاغل، تنظیمات، گزارش‌ها و دستگاه‌های فکس را در این رایانه یا شبکه مدیریت کنید. برای کار مورد نیاز است سرور چاپ».

نام نقش Windows PowerShell Fax است.

این بررسی نقش های سرور ویندوز سرور 2016 را کامل می کند، امیدوارم مطالب در حال حاضر برای شما مفید بوده باشد!

اعمال خط مشی های گروه (قسمت 3)

به طور معمول، GPO ها به یک کانتینر (دامنه، سایت یا OU) اختصاص داده می شوند و برای همه اشیاء موجود در آن کانتینر اعمال می شوند. با یک ساختار دامنه به خوبی سازماندهی شده، این کاملاً کافی است، اما گاهی اوقات لازم است اعمال سیاست ها برای گروه خاصی از اشیاء محدودتر شود. برای این کار می توان از دو نوع فیلتر استفاده کرد.

فیلترهای امنیتی

فیلترهای امنیتی به شما این امکان را می دهند که اعمال سیاست ها را به یک گروه امنیتی خاص محدود کنید. به عنوان مثال، بیایید GPO2 را در نظر بگیریم که برای پیکربندی مرکزی منوی Start در ایستگاه های کاری با Windows 8.1\Windows 10 استفاده می شود. GPO2 به Employees OU اختصاص داده شده است و برای همه کاربران بدون استثنا اعمال می شود.

اکنون به تب "Scope" می رویم، جایی که در بخش "Security Filtering"، گروه هایی که این GPO را می توان برای آنها اعمال کرد مشخص شده است. به طور پیش فرض، گروه Authenticated Users در اینجا مشخص شده است. این بدان معناست که این سیاست می تواند اعمال شود هر کسیکاربر یا رایانه ای که با موفقیت در دامنه احراز هویت شده است.

در واقع هر GPO لیست دسترسی خاص خود را دارد که در تب Delegation قابل مشاهده است.

برای اعمال سیاست، شی باید حقوق خواندن (Read) و اعمال (Apply group policy) را داشته باشد که گروه Authenticated Users دارای آن است. بر این اساس، برای اینکه این سیاست نه برای همه، بلکه فقط برای یک گروه خاص اعمال شود، لازم است کاربران تأیید شده را از لیست حذف کرده، سپس گروه مورد نظر را اضافه کرده و به آن حقوق مناسب بدهید.

بنابراین در مثال ما، این خط مشی فقط می تواند برای گروه حسابداری اعمال شود.

فیلترهای WMI

ابزار مدیریت ویندوز (WMI) یکی از قدرتمندترین ابزارها برای مدیریت سیستم عامل ویندوز است. WMI شامل تعداد زیادی کلاس است که می توانید تقریباً هر تنظیمات کاربر و رایانه را با آنها توصیف کنید. با اجرای دستور زیر می‌توانید تمام کلاس‌های WMI موجود را به‌صورت فهرستی با استفاده از PowerShell مشاهده کنید:

Get-WmiObject -List

مثلاً در کلاس شرکت کنید Win32_OperatingSystem، که مسئول خصوصیات سیستم عامل است. فرض کنید می خواهید همه سیستم عامل ها را به جز ویندوز 10 فیلتر کنید. ما به رایانه ای می رویم که ویندوز 10 نصب شده است، کنسول PowerShell را باز می کنیم و با استفاده از دستور نام، نسخه و نوع سیستم عامل را نمایش می دهیم:

Get-WmiObject -Class Win32_OperatingSystem | fl نام، نسخه، نوع محصول

برای فیلتر، از نسخه و نوع سیستم عامل استفاده می کنیم. نسخه برای سیستم عامل کلاینت و سرور یکسان است و به صورت زیر تعریف شده است:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

نوع محصول مسئول هدف رایانه است و می تواند 3 مقدار داشته باشد:

1 - ایستگاه کاری؛
2 - کنترل کننده دامنه;
3 - سرور

حالا بیایید به ایجاد یک فیلتر بپردازیم. برای انجام این کار، Snap-in Group Policy Management را باز کرده و به قسمت WMI Filters بروید. روی آن کلیک راست کرده و از منوی زمینه گزینه New را انتخاب کنید.

در پنجره ای که باز می شود، یک نام و توضیحات به فیلتر بدهید. سپس دکمه «افزودن» را فشار می دهیم و در قسمت «پرس و جو» کوئری WQL که اساس فیلتر WMI است را وارد می کنیم. ما باید سیستم عامل نسخه 10.0 را با نوع 1 انتخاب کنیم، بنابراین درخواست به این صورت خواهد بود:

SELECT * از Win32_OperatingSystem WHERE نسخه LIKE ″10.0%″ و Product Type = ″1″

توجه داشته باشید. Windows Query Language (WQL) - زبان پرس و جو WMI. شما می توانید در مورد آن در MSDN اطلاعات بیشتری کسب کنید.

فیلتر حاصل را ذخیره کنید.

اکنون تنها چیزی که باقی می ماند این است که فیلتر WMI را به یک GPO، مانند GPO3 اختصاص دهید. به ویژگی های GPO بروید، تب "Scope" را باز کنید و در قسمت "WMI Filtering" فیلتر مورد نظر را از لیست انتخاب کنید.

تجزیه و تحلیل کاربرد سیاست های گروه

با بسیاری از روش‌های فیلتر GPO، لازم است بتوانیم کاربرد آنها را تشخیص و تجزیه و تحلیل کنیم. ساده ترین راه برای بررسی تأثیر سیاست های گروه بر روی رایانه، استفاده از ابزار خط فرمان است gpresult.

به عنوان مثال، اجازه دهید به کامپیوتر wks2 که ویندوز 7 نصب شده است، برویم و بررسی کنیم که آیا فیلتر WMI کار کرده است یا خیر. برای این کار کنسول cmd را با حقوق administrator باز کنید و دستور را اجرا کنید gpresult /r، که اطلاعات خلاصه ای را در مورد خط مشی های گروه اعمال شده برای کاربر و رایانه نمایش می دهد.

توجه داشته باشید.ابزار gpresult تنظیمات زیادی دارد که با دستور قابل مشاهده است gpresult /؟.

همانطور که از داده های دریافتی مشاهده می کنید، سیاست GPO3 روی رایانه اعمال نشده است زیرا توسط فیلتر WMI فیلتر شده است.

همچنین می‌توانید با استفاده از یک جادوگر ویژه، عملکرد GPO را از بخش مدیریت سیاست گروهی بررسی کنید. برای راه‌اندازی ویزارد، روی بخش «نتایج سیاست‌های گروهی» کلیک راست کرده و در منوی باز شده، آیتم «جادوگر نتایج سیاست گروهی» را انتخاب کنید.

نام رایانه ای را که گزارش برای آن تولید می شود، مشخص کنید. اگر فقط می‌خواهید تنظیمات خط‌مشی گروهی خاص کاربر را مشاهده کنید، می‌توانید تنظیمات را برای رایانه جمع‌آوری نکنید. برای انجام این کار، کادر زیر را علامت بزنید (تنظیمات خط مشی کاربر نمایش داده شود).

سپس نام کاربری که داده‌ها برای آن جمع‌آوری می‌شوند را انتخاب می‌کنیم، یا می‌توانید تعیین کنید که تنظیمات خط‌مشی گروهی برای کاربر در گزارش لحاظ نشود (تنظیمات خط‌مشی رایانه نمایش فقط).

تنظیمات انتخاب شده را بررسی می کنیم، روی "بعدی" کلیک می کنیم و منتظر می مانیم تا داده ها جمع آوری شده و گزارش تولید شود.

این گزارش حاوی داده‌های جامعی درباره GPOهای اعمال شده (یا اعمال نشده) روی کاربر و رایانه و همچنین فیلترهای استفاده شده است.

به عنوان مثال، بیایید برای دو کاربر مختلف گزارش ایجاد کنیم و آنها را با هم مقایسه کنیم. بیایید ابتدا گزارش را برای کاربر Kirill باز کنیم و به قسمت تنظیمات کاربر برویم. همانطور که می بینید، سیاست GPO2 برای این کاربر اعمال نشده است، زیرا او حق اعمال آن را ندارد (Reason Denied - Inaсcessible).

و اکنون بیایید گزارش را برای کاربر Oleg باز کنیم. این کاربر یکی از اعضای گروه حسابداری است، بنابراین این خط مشی با موفقیت در مورد او اعمال شد. این بدان معنی است که فیلتر امنیتی با موفقیت تکمیل شد.

در این مورد، شاید داستان «جذاب‌کننده» درباره اعمال سیاست‌های گروهی را تمام کنم. امیدوارم این اطلاعات مفید باشد و به شما در کار دشوار مدیریت سیستم کمک کند 🙂

سخنرانی 4 سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور سیاست امنیتی

سخنرانی 4

موضوع: سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور خط مشی حفاظت از دسترسی به شبکه

معرفی

Windows Server 2008 و Windows Server 2008 R2 سیستم عامل های پیشرفته ویندوز سرور هستند که برای تامین انرژی نسل جدیدی از شبکه ها، برنامه ها و سرویس های وب طراحی شده اند. با استفاده از این سیستم عامل ها، می توانید تجارب کاربری و اپلیکیشن های انعطاف پذیر و فراگیر را طراحی، ارائه و مدیریت کنید، زیرساخت های شبکه ای بسیار امن بسازید و کارایی و سازماندهی فناوری را در سازمان خود افزایش دهید.

سرور خط مشی شبکه

Network Policy Server به شما امکان می دهد خط مشی های دسترسی به شبکه را در سطح سازمان ایجاد و اجرا کنید تا از سلامت کلاینت اطمینان حاصل کنید و درخواست های اتصال را تأیید و تأیید کنید. همچنین می توانید از NPS به عنوان یک پراکسی RADIUS برای ارسال درخواست های اتصال به NPS یا سایر سرورهای RADIUS که در گروه های سرور RADIUS راه دور پیکربندی شده اند استفاده کنید.

سرور خط مشی شبکه به شما اجازه می دهد تا از طریق سه گزینه زیر، احراز هویت، مجوز، و سیاست های سلامت دسترسی به شبکه مشتری را پیکربندی و مدیریت کنید:

سرور RADIUS. NPS به طور مرکزی احراز هویت، مجوز، و حسابداری برای اتصالات بی سیم، اتصالات سوئیچ احراز هویت، اتصالات شماره گیری، و اتصالات شبکه خصوصی مجازی (VPN) را مدیریت می کند. هنگام استفاده از NPS به عنوان سرور RADIUS، سرورهای دسترسی به شبکه مانند نقاط دسترسی بی سیم و سرورهای VPN به عنوان مشتریان RADIUS در NPS پیکربندی می شوند. همچنین خط‌مشی‌های شبکه‌ای را که NPS برای تأیید درخواست‌های اتصال استفاده می‌کند، پیکربندی می‌کند. علاوه بر این، می‌توانید حسابداری RADIUS را طوری پیکربندی کنید که اطلاعات توسط NPS برای ثبت فایل‌های ذخیره شده در یک هارد دیسک محلی یا در پایگاه داده مایکروسافت SQL Server ثبت شود.

پراکسی RADIUS. اگر NPS به عنوان پراکسی RADIUS استفاده می‌شود، باید خط‌مشی‌های درخواست اتصال را پیکربندی کنید که تعیین کند NPS کدام درخواست‌های اتصال را به سرورهای RADIUS دیگر ارسال کند و کدام سرورهای RADIUS خاص آن درخواست‌ها را ارسال کنند. NPS همچنین می تواند به گونه ای پیکربندی شود که اعتبارنامه ها را تغییر مسیر دهد تا در یک یا چند رایانه در یک گروه سرور RADIUS راه دور ذخیره شوند.

سرور خط مشی حفاظت از دسترسی به شبکه (NAP). هنگامی که NPS به عنوان یک سرور خط مشی NAP پیکربندی می شود، NPS وضعیت سلامت ارسال شده توسط رایانه های سرویس گیرنده دارای NAP را که تلاش می کنند به شبکه متصل شوند، ارزیابی می کند. یک سرور خط مشی شبکه پیکربندی شده با محافظت از دسترسی به شبکه به عنوان یک سرور RADIUS عمل می کند و درخواست های اتصال را تأیید و مجوز می دهد. سرور خط مشی شبکه به شما امکان می دهد سیاست ها و تنظیمات حفاظت از دسترسی به شبکه را پیکربندی کنید، از جمله گروه های بررسی کننده سلامت سیستم، خط مشی سلامت و به روز رسانی سرور، که تضمین می کند رایانه های مشتری مطابق با خط مشی شبکه سازمان به روز می شوند.

شما می توانید هر ترکیبی از ویژگی های ذکر شده در بالا را در سرور سیاست شبکه پیکربندی کنید. به عنوان مثال، NPS می تواند به عنوان یک سرور خط مشی NAP با استفاده از یک یا چند روش اجرایی عمل کند، در حالی که به عنوان یک سرور RADIUS برای اتصالات شماره گیری و یک پراکسی RADIUS برای ارسال برخی درخواست های اتصال به گروهی از سرورهای RADIUS راه دور عمل می کند، که امکان احراز هویت و مجوز در یک دامنه متفاوت

سرور RADIUS و پراکسی RADIUS

NPS را می توان به عنوان سرور RADIUS، پراکسی RADIUS یا هر دو مورد استفاده قرار داد.

سرور RADIUS

Microsoft NPS مطابق با استاندارد RADIUS شرح داده شده در IETF RFC 2865 و RFC 2866 پیاده سازی شده است. به عنوان یک سرور RADIUS، NPS به طور مرکزی احراز هویت، مجوز، و حسابداری اتصال را برای انواع مختلف دسترسی به شبکه، از جمله دسترسی بی سیم، سوئیچینگ با احراز هویت، شماره گیری انجام می دهد. دسترسی بالا و VPN و اتصالات بین روترها.

Network Policy Server به شما امکان می دهد از مجموعه ای ناهمگن از تجهیزات برای دسترسی بی سیم، دسترسی از راه دور، شبکه های VPN و سوئیچینگ استفاده کنید. سرور خط مشی شبکه را می توان با سرویس مسیریابی و دسترسی از راه دور، که در سیستم عامل های Microsoft Windows 2000 Windows Server 2003، Standard Edition، Windows Server 2003، Enterprise Edition و Windows Server 2003، Datacenter Edition موجود است، استفاده کرد.

اگر رایانه NPS عضو یک دامنه Active Directory® باشد، NPS از آن سرویس دایرکتوری به عنوان پایگاه داده حساب کاربری خود استفاده می کند و بخشی از راه حل ورود به سیستم است. از همین مجموعه اعتبارنامه ها برای کنترل دسترسی به شبکه (تأیید هویت و مجوز دسترسی به شبکه) و ورود به دامنه اکتیو دایرکتوری استفاده می شود.

ISPها و سازمان‌هایی که دسترسی به شبکه را فراهم می‌کنند با چالش‌های پیچیده‌تری در مدیریت انواع شبکه‌ها از یک نقطه مدیریت، بدون توجه به تجهیزات دسترسی به شبکه مورد استفاده، روبرو هستند. استاندارد RADIUS از این قابلیت در محیط های همگن و ناهمگن پشتیبانی می کند. پروتکل RADIUS یک پروتکل سرویس گیرنده/سرور است که به تجهیزات دسترسی به شبکه (که به عنوان کلاینت های RADIUS عمل می کنند) اجازه می دهد تا درخواست های احراز هویت و حسابداری را به سرور RADIUS ارسال کنند.

سرور RADIUS به اطلاعات حساب کاربری دسترسی دارد و می تواند اعتبارنامه ها را هنگام احراز هویت برای اعطای دسترسی به شبکه تأیید کند. اگر اعتبار کاربر معتبر باشد و تلاش برای اتصال مجاز باشد، سرور RADIUS دسترسی آن کاربر را بر اساس شرایط مشخص شده مجاز می‌کند و اطلاعات اتصال را ثبت می‌کند. استفاده از پروتکل RADIUS اجازه می دهد تا احراز هویت، مجوز، و اطلاعات حسابداری به جای اینکه در هر سرور دسترسی انجام شود، در یک مکان واحد جمع آوری و نگهداری شوند.

پراکسی RADIUS

NPS به عنوان یک پراکسی RADIUS، احراز هویت و پیام های حسابداری را به سرورهای RADIUS دیگر ارسال می کند.

با NPS، سازمان ها می توانند زیرساخت دسترسی از راه دور خود را به یک ارائه دهنده خدمات برون سپاری کنند و در عین حال کنترل بر احراز هویت، مجوز و حسابداری کاربر را حفظ کنند.

تنظیمات NPS را می توان برای سناریوهای زیر ایجاد کرد:

دسترسی بی سیم

اتصال تلفنی یا مجازی به شبکه خصوصی در یک سازمان.

دسترسی از راه دور یا دسترسی بی سیم ارائه شده توسط یک سازمان خارجی

دسترسی به اینترنت

دسترسی تایید شده به منابع شبکه خارجی برای شرکای تجاری

نمونه های پیکربندی سرور RADIUS و پراکسی RADIUS

نمونه های پیکربندی زیر نحوه پیکربندی NPS را به عنوان سرور RADIUS و پراکسی RADIUS نشان می دهد.

NPS به عنوان یک سرور RADIUS. در این مثال، NPS به عنوان یک سرور RADIUS پیکربندی شده است، تنها خط مشی پیکربندی شده، خط مشی درخواست اتصال پیش فرض است و تمام درخواست های اتصال توسط NPS محلی مدیریت می شوند. NPS می‌تواند کاربرانی را که حساب‌هایشان در دامنه سرور یا در دامنه‌های مورد اعتماد است، احراز هویت و مجوز دهد.

NPS به عنوان یک پراکسی RADIUS. در این مثال، NPS به‌عنوان یک پراکسی RADIUS پیکربندی شده است که درخواست‌های اتصال را به گروه‌هایی از سرورهای RADIUS راه دور در دو دامنه متفاوت غیرقابل اعتماد ارسال می‌کند. خط مشی درخواست اتصال پیش‌فرض حذف شده و با دو خط‌مشی درخواست اتصال جدید جایگزین می‌شود که درخواست‌ها را به هر یک از دو دامنه نامعتبر هدایت می‌کنند. در این مثال، NPS درخواست های اتصال در سرور محلی را پردازش نمی کند.

NPS هم به عنوان سرور RADIUS و هم به عنوان پروکسی RADIUS. علاوه بر خط‌مشی درخواست اتصال پیش‌فرض، که درخواست‌ها را به صورت محلی مدیریت می‌کند، یک خط‌مشی درخواست اتصال جدید ایجاد می‌شود تا آنها را به NPS یا سرور RADIUS دیگری در یک دامنه نامعتبر هدایت کند. سیاست دوم پروکسی نام دارد. در این مثال، خط مشی Proxy ابتدا در لیست مرتب شده خط مشی ها ظاهر می شود. اگر درخواست اتصال با خط مشی پروکسی مطابقت داشته باشد، درخواست اتصال به سرور RADIUS در گروه سرور RADIUS راه دور ارسال می شود. اگر درخواست اتصال با خط مشی پروکسی مطابقت نداشته باشد اما با خط مشی درخواست اتصال پیش فرض مطابقت داشته باشد، NPS درخواست اتصال را در سرور محلی پردازش می کند. اگر درخواست اتصال با هیچ یک از این خط مشی ها مطابقت نداشته باشد، رد می شود.

NPS به عنوان یک سرور RADIUS با سرورهای حسابداری از راه دور. در این مثال، NPS محلی برای حسابداری پیکربندی نشده است، و خط مشی درخواست اتصال پیش‌فرض تغییر می‌کند تا پیام‌های حسابداری RADIUS به NPS یا سرور RADIUS دیگری در گروه سرور RADIUS راه دور ارسال شوند. اگرچه پیام‌های حسابداری بازارسال می‌شوند، پیام‌های احراز هویت و مجوز ارسال نمی‌شوند و عملکرد مناسب برای دامنه محلی و همه دامنه‌های مورد اعتماد توسط NPS محلی مدیریت می‌شود.

NPS با RADIUS از راه دور به نگاشت کاربر ویندوز. در این مثال، NPS هم به عنوان سرور RADIUS و هم به عنوان یک پروکسی RADIUS برای هر درخواست اتصال عمل می‌کند و درخواست احراز هویت را به یک سرور RADIUS راه دور هدایت می‌کند و در عین حال با استفاده از یک حساب کاربری محلی ویندوز مجوز می‌دهد. این پیکربندی با تنظیم Remote RADIUS Server Mapping به ویژگی کاربر ویندوز به عنوان شرط خط مشی درخواست اتصال پیاده سازی می شود. (علاوه بر این، شما باید یک حساب کاربری محلی در سرور RADIUS با همان نام حساب راه دور ایجاد کنید که سرور RADIUS راه دور در برابر آن احراز هویت می کند.)

سرور خط مشی حفاظت از دسترسی به شبکه

حفاظت از دسترسی به شبکه در Windows Vista®، Windows® 7، Windows Server® 2008 و Windows Server® 2008 R2 گنجانده شده است. این به محافظت از دسترسی به شبکه های خصوصی با حصول اطمینان از اینکه رایانه های سرویس گیرنده با خط مشی های بهداشتی موجود در شبکه سازمان در هنگام اجازه دسترسی به این مشتریان برای دسترسی به منابع شبکه مطابقت دارند، کمک می کند. علاوه بر این، انطباق یک کامپیوتر مشتری با یک خط‌مشی بهداشتی تعریف‌شده توسط سرپرست توسط محافظت از دسترسی به شبکه در زمانی که رایانه مشتری به شبکه متصل است، نظارت می‌شود. با قابلیت به‌روزرسانی خودکار Network Access Protection، رایانه‌های غیرمنطبق را می‌توان به‌طور خودکار طبق خط‌مشی سلامت به‌روزرسانی کرد تا بعداً به آنها اجازه دسترسی به شبکه داده شود.

مدیران سیستم خط مشی های سلامت شبکه را تعریف می کنند و این سیاست ها را با استفاده از اجزای NAP که از NPS در دسترس هستند یا توسط شرکت های دیگر (بسته به اجرای NAP) ارائه می شوند، ایجاد می کنند.

خط‌مشی‌های بهداشتی می‌توانند دارای ویژگی‌هایی مانند الزامات نرم‌افزار، الزامات به‌روزرسانی امنیتی و الزامات تنظیمات پیکربندی باشند. حفاظت از دسترسی به شبکه با بررسی و ارزیابی سلامت رایانه‌های مشتری، محدود کردن دسترسی شبکه به رایانه‌های ناسازگار، و اصلاح ناهماهنگی برای ارائه دسترسی نامحدود به شبکه، سیاست‌های بهداشتی را اعمال می‌کند.

قبل از توضیح نقش های سرور ویندوز سرور، بیایید دریابیم که دقیقا چیست " نقش سرور» در سیستم عامل ویندوز سرور.

"نقش سرور" در ویندوز سرور چیست؟

نقش سرور- این یک بسته نرم افزاری است که عملکرد یک عملکرد خاص را توسط سرور تضمین می کند و این عملکرد اصلی است. به عبارت دیگر، " نقش سرور' هدف سرور است، یعنی. برای چیست تا سرور بتواند عملکرد اصلی خود را انجام دهد. نقش خاصی در نقش سرور» شامل تمامی نرم افزارهای لازم برای این کار ( برنامه ها، خدمات).

ویندوز سرور همچنین دارای " اجزاء» سرور